¿Por qué “algo que usted sabe” es el factor de autenticación más débil?

En el caso típico, algo que eres y algo que tienes solo puede ser cierto para una persona a la vez. Si pierdes tu token, sabes que lo has perdido.

Algo que usted sabe puede ser copiado por alguien sin su conocimiento. Si alguien tiene su contraseña, es posible que no pueda decir que está explotando activamente ese conocimiento.

Esa es una razón para cambiar su contraseña regularmente. Acorta la ventana donde se puede explotar una violación de contraseña.

Las contraseñas, o más generalmente algo que sabes, a menudo son relativamente débiles, porque los usuarios no pueden recordar secretos de alta entropía. Como resultado, las contraseñas (o cualquier cosa que necesite memorizar) usualmente terminan siendo un secreto de baja entropía, lo que permite la búsqueda aleatoria, la búsqueda de diccionarios sin conexión y otros ataques. Si bien es posible crear y recordar una contraseña bastante buena, la experiencia demuestra que los usuarios no lo hacen, y que probablemente no sea razonable esperar que los usuarios lo hagan.

Existe una gran cantidad de investigación académica y experiencia práctica que respalda esta afirmación. Aquí hay algunas referencias de ejemplo:

• La ciencia de adivinar: analizar un cuerpo anónimo de 70 millones de contraseñas , Joseph Bonneau. 2012 IEEE Symposium sobre Seguridad y Privacidad. [Analiza datos de decenas de millones de contraseñas de usuarios. Muestra que hacer 10 conjeturas en la contraseña de una cuenta comprometerá alrededor del 1% de probabilidad de comprometer la contraseña, y que aproximadamente la mitad de todas las contraseñas tienen entropía de 20 bits o menos. En otras palabras, muchas / la mayoría de las contraseñas son débiles.]

• ¿Hay artículos académicos sobre cómo las personas manejan sus contraseñas?

• ¿Por qué es tan importante el hashing de contraseñas?

• Consulte la etiqueta completa contraseñas en este sitio.

Además, cualquier secreto que usted conozca puede ser suplantado (es decir, alguien podría ser capaz de hacer una ingeniería social para que lo revele).

Recuerda la declaración clásica:

  

Los seres humanos son incapaces de almacenar de forma segura y de alta calidad   claves criptográficas, y tienen una velocidad inaceptablemente lenta   y precisión al realizar operaciones criptográficas.   (También son grandes, caros de mantener, difíciles de   Gestionan, y contaminan el medio ambiente. Es asombroso   que estos dispositivos continúen siendo fabricados y desplegados. Pero son lo suficientemente penetrantes que debemos   diseñar nuestros protocolos en torno a sus limitaciones.)

     

Charlie Kaufman, Radia Perlman, Mike Speciner, Seguridad de redes: comunicación privada en un mundo público .

En este punto, es posible que se esté preguntando: dado que las contraseñas tienen tantos problemas, ¿por qué todavía las usamos? Si es así, te recomiendo que eches un vistazo a esta pregunta: ¿Por qué incluso usamos contraseñas / frases de contraseña junto a la biométrica? .

Es posible tener un "algo que sabes" que no puedes ser obligado a revelar. Leí sobre un sistema de inicio de sesión seguro que presenta una cuadrícula de 12 a 15 fotos de caras, y tienes aproximadamente 3 segundos para tocar los 3 o 4 que has visto antes. Para que esto funcione, debe haber una base de datos de miles de fotos, y entrenar en cientos de ellas. El sistema sabe en cuáles has entrenado. (primero debe dar un nombre de usuario que se supone que es "público", no es seguro).

Es posible que no pueda transmitir esta información a otra persona, y cualquier éxito en un inicio de sesión no da ningún éxito en otra. Para que "algo que usted sabe" sea efectivo, simplemente debemos utilizar aspectos de la naturaleza humana que funcionen de manera efectiva. La mayoría de las personas pueden reconocer las fotos de las caras vistas anteriormente, ya que están integradas.

Este es el resultado del excelente marketing realizado por los proveedores de autenticación biométrica.

"Algo que eres" es a veces muy fácil de reproducir para un atacante, las huellas digitales y la voz son especialmente fáciles de obtener, sin la posibilidad de que las personas utilicen estrategias creíbles para evitarlo (usar guantes en todo momento y no hablar en público) no es práctico).

Es probable que la mayoría de nosotros dejemos docenas de huellas digitales explotables todos los días. Por mi parte, no digo mi contraseña en voz alta con tanta frecuencia.

"Algo que tienes" tampoco está exento de fallas y requiere una gran cantidad de educación del usuario para que se use correctamente. P.ej. En cualquier empresa RSA SecureID, un recorrido por la oficina revelará muchos de ellos en los escritorios, siendo visible el código. Incluso vi a gente que los llevaba alrededor del cuello con ellos. Además, la desaparición de un token de autenticación puede no notarse hasta que sea necesario.

El problema más grande (y único) de la autenticación basada en contraseña es que su fuerza la establece el usuario, y existe un compromiso entre fortaleza y usabilidad . En teoría, las contraseñas tienen muchas propiedades excelentes para un usuario: son difíciles de obtener de terceros por la fuerza, no las filtra en todas partes como datos biométricos, se pueden almacenar como hashes a diferencia de los datos biométricos, los usuarios pueden permanecer en el anonimato para el servicio (si comparte su número de teléfono móvil por 2 factores o si le da las huellas digitales que pierde), los usuarios pueden decirle la contraseña a otras personas y compartir el acceso. Intenta eso con biometría, o llaveros. Así que las contraseñas ofrecen más control al usuario, lo que puede ser una ventaja, pero la mayoría de las veces es una desventaja.

Entonces hay problemas en la implementación. Primero debe establecer una contraseña completamente distinta para cada lugar en el que tenga que usar una contraseña. Esto se debe a que la mayoría de las veces la otra parte obtiene su contraseña en texto simple. Cuando usa un esquema de autenticación fuerte como SCRAM-SHA1, nunca transmite la contraseña a un tercero, y puede usar un esquema como "contraseña segura" + "nombre del sitio web" para su contraseña. Este uso de contraseñas, sin embargo, es muy poco claro para separar. Puede crear un pequeño dispositivo en el que los usuarios ingresen sus contraseñas, lo que garantiza que la contraseña nunca la deje, pero que el usuario puede ser falsificado por la computadora y pensar que tiene que ingresarla allí. Ahí está de nuevo, la fuerza depende del usuario.